La logique sous-jacente de l'hameçonnage par signature Web3 : comprendre l'hameçonnage d'autorisation, Permit et Permit2
Dans le domaine de Web3, le "phishing par signature" est devenu l'une des méthodes de fraude les plus couramment utilisées par les hackers. Malgré les efforts des experts en sécurité et des entreprises de portefeuilles pour sensibiliser le public, de nombreux utilisateurs continuent d'être victimes de ces arnaques chaque jour. Une des raisons importantes de cette situation est que la plupart des gens manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage des connaissances pertinentes est relativement élevé.
Pour aider davantage de personnes à comprendre ce problème, cet article tentera d'expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite de payer des frais de Gas.
Un scénario typique de signature est la vérification d'identité, comme se connecter à un portefeuille ou à une DApp. Par exemple, lorsque vous souhaitez échanger des tokens sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'a aucun impact sur la blockchain, donc aucune frais n'est nécessaire.
En comparaison, l'interaction implique des opérations réelles sur la chaîne. Prenons l'exemple de l'échange de jetons sur un DEX, vous devez d'abord payer des frais pour autoriser le contrat intelligent du DEX à déplacer vos jetons (appelé "autorisation"). Ensuite, vous devez également payer des frais pour exécuter l'opération d'échange réelle.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes courantes de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage par autorisation est une méthode classique de fraude qui exploite le mécanisme d'autorisation (approve). Les hackers peuvent créer un faux site web, se faisant passer pour un projet NFT ou une campagne d'airdrop. Lorsque les utilisateurs cliquent sur le bouton "Recevoir l'airdrop", ils autorisent en réalité l'adresse du hacker à manipuler leurs tokens. Bien que cette méthode nécessite le paiement de frais de Gas, de nombreux utilisateurs peuvent encore se faire piéger par inadvertance.
Les signatures de Permit et Permit2 rendent le phishing plus discret et plus difficile à prévenir. Les utilisateurs ont l'habitude de signer pour se connecter à leur portefeuille avant d'utiliser les DApps, ce qui crée facilement une pensée habituelle de "cette opération est sûre". De plus, comme la signature ne nécessite pas de frais, beaucoup de gens ne comprennent pas la signification de chaque signature, ce qui crée une opportunité pour les hackers.
Permit est une fonctionnalité étendue de la norme ERC-20, permettant aux utilisateurs d'approuver par signature d'autres personnes pour déplacer leurs propres jetons. En d'autres termes, c'est comme signer un "bon" qui permet à quelqu'un de déplacer vos jetons. La personne détenant ce "bon" peut prouver à un contrat intelligent qu'elle a le droit de déplacer vos jetons. Les hackers peuvent exploiter ce mécanisme pour inciter les utilisateurs à signer des Permits, leur permettant ainsi d'obtenir des droits de transfert de jetons.
Permit2 est une fonctionnalité introduite par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat intelligent Permit2, après quoi chaque transaction nécessite seulement une signature, sans avoir à autoriser à nouveau. Bien que cela simplifie le processus, cela crée également des conditions propices à la fraude. Si un utilisateur a déjà utilisé ce DEX et a autorisé un montant illimité au contrat Permit2 (ce qui est le paramètre par défaut de ce DEX), un hacker peut simplement inciter l'utilisateur à signer pour transférer ses jetons.
En général, le phishing d'autorisation consiste à vous permettre d'autoriser directement un hacker à déplacer vos jetons, tandis que le phishing de signature consiste à vous inciter à signer un "papier" qui permet à d'autres de déplacer vos actifs. Permit est une fonction d'extension d'autorisation pour ERC-20, Permit2 est une nouvelle fonction lancée par un DEX, les deux étant des zones sinistrées actuelles du phishing de signature.
Alors, comment prévenir ces attaques de phishing ?
Il est crucial de développer une conscience de la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement ce que vous êtes en train de faire.
Séparez les fonds importants de votre portefeuille quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez une demande de signature contenant les informations suivantes :
Interactif : site web interactif
Propriétaire : Adresse de l'autorisateur
Spender : adresse de la partie autorisée
Valeur : Quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant ces logiques sous-jacentes et ces mesures préventives, nous pouvons mieux protéger nos actifs numériques et éviter de devenir des victimes de phishing par signature.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
3
Partager
Commentaire
0/400
SignatureDenied
· 07-27 01:35
Ah, vieux pigeons, je suis encore tombé quelques fois.
Voir l'originalRépondre0
StablecoinArbitrageur
· 07-27 01:33
*ajuste les graphiques* encore 10,3 % de la valeur du portefeuille perdue à cause des exploits de permis... quand apprendront-ils à lire le bytecode
Analyse du phishing de signatures Web3 : risques et préventions liés à l'autorisation, au Permit et au Permit2
La logique sous-jacente de l'hameçonnage par signature Web3 : comprendre l'hameçonnage d'autorisation, Permit et Permit2
Dans le domaine de Web3, le "phishing par signature" est devenu l'une des méthodes de fraude les plus couramment utilisées par les hackers. Malgré les efforts des experts en sécurité et des entreprises de portefeuilles pour sensibiliser le public, de nombreux utilisateurs continuent d'être victimes de ces arnaques chaque jour. Une des raisons importantes de cette situation est que la plupart des gens manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage des connaissances pertinentes est relativement élevé.
Pour aider davantage de personnes à comprendre ce problème, cet article tentera d'expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite de payer des frais de Gas.
Un scénario typique de signature est la vérification d'identité, comme se connecter à un portefeuille ou à une DApp. Par exemple, lorsque vous souhaitez échanger des tokens sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'a aucun impact sur la blockchain, donc aucune frais n'est nécessaire.
En comparaison, l'interaction implique des opérations réelles sur la chaîne. Prenons l'exemple de l'échange de jetons sur un DEX, vous devez d'abord payer des frais pour autoriser le contrat intelligent du DEX à déplacer vos jetons (appelé "autorisation"). Ensuite, vous devez également payer des frais pour exécuter l'opération d'échange réelle.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes courantes de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage par autorisation est une méthode classique de fraude qui exploite le mécanisme d'autorisation (approve). Les hackers peuvent créer un faux site web, se faisant passer pour un projet NFT ou une campagne d'airdrop. Lorsque les utilisateurs cliquent sur le bouton "Recevoir l'airdrop", ils autorisent en réalité l'adresse du hacker à manipuler leurs tokens. Bien que cette méthode nécessite le paiement de frais de Gas, de nombreux utilisateurs peuvent encore se faire piéger par inadvertance.
Les signatures de Permit et Permit2 rendent le phishing plus discret et plus difficile à prévenir. Les utilisateurs ont l'habitude de signer pour se connecter à leur portefeuille avant d'utiliser les DApps, ce qui crée facilement une pensée habituelle de "cette opération est sûre". De plus, comme la signature ne nécessite pas de frais, beaucoup de gens ne comprennent pas la signification de chaque signature, ce qui crée une opportunité pour les hackers.
Permit est une fonctionnalité étendue de la norme ERC-20, permettant aux utilisateurs d'approuver par signature d'autres personnes pour déplacer leurs propres jetons. En d'autres termes, c'est comme signer un "bon" qui permet à quelqu'un de déplacer vos jetons. La personne détenant ce "bon" peut prouver à un contrat intelligent qu'elle a le droit de déplacer vos jetons. Les hackers peuvent exploiter ce mécanisme pour inciter les utilisateurs à signer des Permits, leur permettant ainsi d'obtenir des droits de transfert de jetons.
Permit2 est une fonctionnalité introduite par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat intelligent Permit2, après quoi chaque transaction nécessite seulement une signature, sans avoir à autoriser à nouveau. Bien que cela simplifie le processus, cela crée également des conditions propices à la fraude. Si un utilisateur a déjà utilisé ce DEX et a autorisé un montant illimité au contrat Permit2 (ce qui est le paramètre par défaut de ce DEX), un hacker peut simplement inciter l'utilisateur à signer pour transférer ses jetons.
En général, le phishing d'autorisation consiste à vous permettre d'autoriser directement un hacker à déplacer vos jetons, tandis que le phishing de signature consiste à vous inciter à signer un "papier" qui permet à d'autres de déplacer vos actifs. Permit est une fonction d'extension d'autorisation pour ERC-20, Permit2 est une nouvelle fonction lancée par un DEX, les deux étant des zones sinistrées actuelles du phishing de signature.
Alors, comment prévenir ces attaques de phishing ?
Il est crucial de développer une conscience de la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement ce que vous êtes en train de faire.
Séparez les fonds importants de votre portefeuille quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez une demande de signature contenant les informations suivantes :
En comprenant ces logiques sous-jacentes et ces mesures préventives, nous pouvons mieux protéger nos actifs numériques et éviter de devenir des victimes de phishing par signature.